Das deutsche IT-Sicherheitsgesetz und KRITIS

Seit Sommer 2015 gilt in Deutschland das IT-Sicherheitsgesetz. Die Vorschriften sind Teil der „Digitalen Agenda“ der Bundesregierung und sollen dazu beitragen, Bevölkerung, Unternehmen und Behörden besser vor Cyber-Angriffen zu schützen, indem die Sicherheit kritischer Infrastrukturen (KRITIS) ständig auf dem aktuellen Stand der Technik gehalten wird.

Deshalb betrifft das IT-Sicherheitsgesetz vor allem die Informationssicherheit von Betreibern sogenannter kritischer Infrastrukturen. Denn Datensicherheit wird durch die Digitalisierung unseres Lebens im Allgemeinen und die digitale Transformation der Wirtschaft im Besonderen zu einem grundlegenden Bestandteil der inneren Sicherheit Deutschlands.

Wie umfassend das IT-Sicherheitsgesetz angelegt ist, zeigt sich unter anderem daran, in welchen Gesetzen und Vorschriften es Bestimmungen änderte. Davon betroffen sind u.a.: BSI-Gesetz, Atomgesetz, Energiewirtschaftsgesetz, Telemediengesetz, Telekommunikationsgesetz, Bundesbesoldungsgesetz, Bundeskriminalamtgesetz sowie Gesetz zur Strukturreform des Gebührenrechts des Bundes.

Bei KRITIS-Unternehmen handelt es sich im Wesentlichen um Organisationen, die für das Gemeinwesen von zentraler Bedeutung sind. Um insbesondere die Betreiber von kritischen Infrastrukturen besser vor Hacker-Angriffen zu schützen, sollen neue IT-Sicherheitsstandards geschaffen werden. Das IT-Sicherheitsgesetz formuliert diese jedoch nicht selbst. Stattdessen sollen die betroffenen Sektoren bzw. Branchen selbst Standards erarbeiten und diese anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigen lassen.

Betroffene Sektoren

In der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) legt der Gesetzgeber die betroffenen Sektoren fest, die im Rahmen des IT-Sicherheitsgesetzes zu den kritischen Infrastrukturen zählen. Insgesamt fallen neun Sektoren in den KRITIS-Bereich:

  • Energie: Strom- und Gasversorger, Kraftstoff-, Heizöl und Fernwärmeversorger. Dabei werden alle Unternehmen erfasst, die an der Erzeugung bzw. Produktion, Übertragung und Verteilung der Energieformen beteiligt sind.
  • Wasser: Trinkwasserversorger und Abwasserbeseitiger. Betroffen sind alle Unternehmen in den Bereichen Wassergewinnung, -aufbereitung, -verteilung, -steuerung und -überwachung, sowie Abwasserbehandlung, Gewässereinleitung
  • Ernährung: Lebensmittelversorgung (Produktion, Verarbeitung und Handel von Lebensmitteln)
  • Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung. Dies umfasst IT-Hoster, DNS-Resolver, Rechenzentren, Vertrauensdienste u.v.a.
  • Gesundheit: Erfasst sind die stationäre medizinische Versorgung, Versorger mit lebenserhaltenden Medizinprodukten oder verschreibungspflichtigen Arzneien sowie Dienstleister im Bereich der Laboratoriumsdiagnostik.
  • Finanz- und Versicherungswesen: Hier sind Dienstleister erfasst, welche an der Bargeldversorgung, an kartengestütztem und konventionellem Zahlungsverkehr, der Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen beteiligt sind.
  • Transport und Verkehr: Personen- und Gütertransport
  • Staat und Verwaltung: Justizapparat, Katastrophenschutz, Regierung und Verwaltung
  • Medien und Kultur: Presse, Kulturgüter, aber auch bestimmte Bauwerke

Auswirkungen auf betroffene Unternehmen

KRITIS-Unternehmen haben eine Meldepflicht für erhebliche Störungen der Unternehmens-IT gegenüber dem BSI. Dafür muss die Störung noch nicht eingetreten sein. Es genügt, wenn es sich um eine außergewöhnliche IT-Störung handelt, deren Eintreten für möglich gehalten wird. Dazu zählen unter anderem Sicherheitslücken, unbekannte Schadsoftware, Spear-Fishing und außergewöhnliche oder unerwartete IT-technische Defekte, z.B. nach Software-Updates. Im Rahmen dessen stärkt das Gesetz zusätzlich die Stellung des Bundesamtes für Sicherheit in der Informationstechnik und des Bundeskriminalamtes (BKA) hinsichtlich Cyber-Crime.

Weiterhin sind betroffene Unternehmen verpflichtet, ihre IT-Infrastruktur nach dem Stand der Technik abzusichern und diese alle zwei Jahre überprüfen zu lassen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden. Dies lässt sich am ehesten durch die Einrichtung eines Informationsmanagementsystems (ISMS) nach ISO 27001 erreichen, welches das BSI als ausreichenden Nachweis anerkennt.

Die BSI-KritisV sieht nur sehr kurze Fristen für die Absicherung der IT-Systeme vor, welche für die Sektoren Energie, IT und Telekommunikation, Ernährung und Wasser bereits im Mai 2018 ausgelaufen sind. Die restlichen Sektoren Finanz und Versicherungswesen, Transport und Verkehr, sowie Gesundheit haben nur noch bis zum Juni 2019 Zeit, um ihre IT an den Stand der Technik anzupassen. Da Zertifizierungsprozesse erheblichen zeitlichen Vorlauf in Anspruch nehmen, müssen KRITIS-Unternehmen sich also rechtzeitig um Zertifizierungen kümmern, um die kurze Umsetzungsfrist des BSI-KritisV einzuhalten. Andernfalls drohen hohe Bußgelder bis 100.000 Euro.

Dieser aktualisierte Artikel erschien zuerst am 24. August 2015.

Bestellen Sie einen unserer Experten als externen Informationssicherheitsbeauftragten und lassen sich bis zur erfolgreichen Zertifizierung nach ISO 27001 begleiten!